Mit Uralt-Technik: CCC knackt Videoident-Verfahren

Mit Uralt-Technik: CCC knackt Videoident-Verfahren

Gängige Videoident-Verfahren lassen sich mit einfachen Mitteln überlisten. Das konnte ein Sicherheitsforscher des Chaos Computer Club nachweisen: Er verschaffte sich dazu unter falscher Identität Zugriff auf die Patientenakte einer Testperson.

Bei Videoident-Verfahren erscheinen Antragsteller gewöhnlich samt Ausweisdokument vor einer Videokamera. Auf der Gegenseite prüfen Mitarbeiter, unterstützt von Algorithmen, die Identität der Person im Video. Die Verfahren werden unter anderem von Krankenversicherungen, aber zum Beispiel auch von vielen Banken eingesetzt.

Wie der CCC in seiner aktuellen Pressemitteilung erklärt, konnte Sicherheitsforscher Martin Tschirsich nur mit Open-Source-Software und etwas Aquarell-Farbe sechs Videoident-Lösungen überlisten. In dem in seinem Bericht beschriebenen Fall hat Tschirsich Zugriff auf die Gesundheitsdaten einer eingeweihten Testperson erlangt, „darunter eingelöste Rezepte, Arbeitsunfähigkeitsbescheinigungen, ärztliche Diagnosen sowie Original-Behandlungsunterlagen“.

In der Pressemitteilung heißt es weiter, der Angriff sei von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar. Daher sei das Risiko des weiteren Missbrauchs als hoch einzuschätzen.

Eine erste Konsequenz hat die Veröffentlichung des CCC bereits gezeitigt: Die Gesundheitsagentur Gematik hat den Krankenkassen die weitere Nutzung von Videoident-Verfahren untersagt. Künftig müssen Patienten wieder vor Ort erscheinen, etwa, um das Anlegen einer elektronischen Patientenakte zu beantragen. Ein endgültiges Aus bedeutet das jedoch nicht: „Über die Wiederzulassung von Videoident-Verfahren kann erst entschieden werden, wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind“, ließ die Gematik verlauten.

Tags :